Oppsettet tar høyde for at du ikke skal lagre hver enkelt FEIDE-bruker som en bruker i WordPress. Med denne oppskriften blir det bare laget én bruker som alle som logger på via FEIDE blir koblet opp mot. Denne brukeren har ingen annen funksjon enn å være et filter for hvilke sider du får gå inn på i WordPress, og den knyttes ikke til noen av praterobotene.
Oppsett av tjeneste hos FEIDE
Du må nå være FEIDE-ansvarlig i kommunen for å fullføre det som står videre. Gå inn til https://kunde.feide.no og logg på som vertsorganisasjon. Velg menyen «Tjenester» og fanen «Leveres av [din] kommune». Klikk på «Opprett en ny Feide-tjeneste», gi den et navn du kjenner igjen og velg «Kun til internt bruk».
På den følgende skjermen «Om tjenesten» må du fylle ut noe og velge «Nei, tjenesten støtter ikke Single Logout (SLO)». Siden dette er en tjeneste kun til internt bruk er det ikke så farlig hva som står i feltene på denne siden.
Under fanen «Brukerinformasjon» holder det at du velger «Organisasjonstilhørighet (groups-org)», fordi ideen er at du ikke skal lagre brukernavn/e-post og lignende.
I fanen «Konfigurasjoner» velger du «Legg til OIDC-konfigurasjon». I de to første feltene må du fylle ut helt korrekt URL til nettstedet ditt, f.eks. https://ki.randabergskolen.no. Gi konfigurasjonen et navn du kjenner igjen. Begrens hvilke organisasjoner som kan logge inn på denne konfigurasjonen til din kommune. Under «Klienttype» velger du «Offentlig». Så kan du trykke på «Lagre» helt nede. Da får du vite Client ID og Client Secret til tjenesten. Disse to kodene trenger du å vite når du skal koble WordPress opp mot FEIDE-tjenesten du nettopp har laget.
Du er nå ferdig med oppsettet av tjenesten i FEIDE.
Oppsett av utvidelse i WordPress
Installer og aktiver utvidelsen «OAuth Single Sign On – SSO (OAuth Client)» av miniOrange, om den ikke ligger inn i kopien av nettstedet du har satt opp.
Gå til «miniOrange OAuth» i menyen i WordPress, som nå har dukket opp. Under «Configure OAuth» må du klikke på «Add New Application» og velge «Custom OAuth 2.0 app». (PS! Som du ser kan du velge mange andre systemer for å logge på også, som Azure og Google.) I oppsettet oppsettet som kommer nå må du fylle ut ulike felter med følgende informasjon:
App name: FEIDE (ja, det må være FEIDE for at lenke skal virke slik den skal)
Client ID / Application ID: Henter du fra FEIDE-tjenesten.
Client Secret: Henter du fra FEIDE-tjenesten.
Scope: groups-org userinfo-name email eduPersonOrgUnitDN
Authorization Endpoint: https://auth.dataporten.no/oauth/authorization
Token Endpoint: https://auth.dataporten.no/oauth/token
Userinfo Endpoint: https://groups-api.dataporten.no/groups/me/groups
Klikk på «Next» og så på «Finish». Da må du logge på FEIDE for å hente opp den informasjonen som koblingen får tilgang til. Det er det samme hvilken bruker/konto du kobler FEIDE opp med. Vinduet du får opp nå viser hvilken informasjon WordPress kan hente ut fra FEIDE via påloggingen.
Gå til fanen «Attribute/Role Mapping» i OAuth-utvidelsen. Der kan du velge hvilket FEIDE-felt WordPress skal bruke for å lage brukere. Der skal du velge «eduPersonPrimaryAffiliation» eller «0.membership.primaryAffiliation», alt etter FEIDE-løsning. Hvis det står «0membership.primaryAffiliation» må du velge at du legger feltet manuelt og passer på at det er et punktum mellom 0 og membership.
Når brukere nå logger på via FEIDE kommer det automatisk til å bli laget to brukere. Den ene heter Employee (for ansatte) og den andre Student (for elever). Jeg har laget disse to brukerne for deg i kopien av nettstedet. Hvis du bruker et annet oppsett enn Identum sitt standard FEIDE-oppsett kan det hende at den lager andre brukere, men da ser du på de to jeg har laget som en mal for hvordan de andre må legges inn i systemet etter at de har logget på første gang.
Oppsett av utvidelsen User Access
Nå må du aktivere utvidelsen «Restrict User Access», som skal ligge i kopien du har lastet opp. Gå inn i menyen «User Access» som da har dukker opp i WordPress. Der skal det være to ferdige og aktiverte oppsett, som heter KI-elever og KI-ansatte.
Da har bare innloggede brukere lov til å gå inn på sidene med praterobotene.
En siste ting du må gjøre
Du må være logget inn som administrator, før du går til forsiden på nettstedet. Der kan du velge «Rediger nettsted» øverst til høyre og så velger du blyanten til høyre for der det står «Hjemme». Her må du gjøre to endringer. Klikk på de tre strekene øverst til høyre på skjermen. Da får du opp en oversikt over alle grupper/blokker som er på siden. Klikk på den som heter «Gruppe – Innlogging». Så må du se på sidevinduet til høyre etter overskriften «Visibility». Der må du velge «Logged-out» i stedet for «Logged-in» under User Role. Det betyr at denne blokken bare er synlig for brukere som ikke er logget inn. Så velger du gruppen «Gruppe – Prateroboter» helt til venstre, så endrer du synligheten fra «Public» til «Logged-in». Da blir denne blokken bare synlig for brukere som er logget inn.
Så klikker på på > tegnet til venstre for gruppen «Gruppe Prateroboter». Da får du se en gruppe som heter «Gruppe – Ansatte», som du klikker på. Under «Visibility» og User Role velger du her «Users» og brukerne «Admin» og «Ansatt». Da er det bare disse to brukerne som får se «Prateroboter til lærere».
Før du er helt ferdig må du markere teksten «Logg inn» midt på skjermen og legge inn URL-en fra «Sign in URL», som jeg ba deg huske lengre oppe i teksten. Så klikket du «Lagre» oppe til høyre – to ganger!
Pjuh! Ferdig! Nå kan du deaktivere utvidelsen «Passordbeskyttet», siden brukere nå må logge seg på via lenker «Logg inn» som peker til FEIDE-oppsettet du la inn i OAuth-utvidelsen.